ニュース

最近、Ecovacs はプライバシー セキュリティに関する疑問に直面しています。 2 人のセキュリティ研究者、Dennis Giese 氏と Braelynn 氏は、Def Con セキュリティ カンファレンスで、Ecovacs の芝刈りロボットと掃除ロボットのセキュリティ脆弱性を発表しました。攻撃者はこれらの脆弱性を利用して、デバイスの内蔵カメラとマイクを悪用してユーザーを監視する可能性があると述べた。

AVC の合計データによると、今年上半期には掃除ロボットが掃除家電全体の 41% を占め、掃除分野で確固たる地位を占め、売上高と前年比で 2 桁の成長を達成しました。前年比はそれぞれ 18.8% と 11.9% 増加しました。

Ecovacs Robotics の公式ウェブサイトによると、Ecovacs Robotics は国際化戦略を堅持し、深化させており、現在、ドイツ、米国、日本に販売子会社を次々と設立し、成功を収めています。世界中の主要な80以上の国と地域に市場を開拓してきました。 2016 年、エコバックスは中国における掃除ロボットの売上高でナンバーワンのブランドになりました。

Cobos公式Webサイトのスクリーンショット

「家電企業が製品インテリジェンスを推進する場合、ユーザーのプライバシーとセキュリティの保護を意識、計画、技術アーキテクチャから考慮する必要があります。」家電業界のオブザーバーである丁少将は、広州日報の記者に対し、このプロセスでは、ユーザーがユーザーのプライバシーデータについて情報を得て同意できるように、ユーザーデータを科学的かつ合理的に収集する必要があると指摘した。それはユーザーのインテリジェント エクスペリエンスを根本的に向上させるものではありません。あまり多くを求めないでください。自社の基本的な機能がまだ完璧ではない場合は、専門のサードパーティのセキュリティ データ会社を紹介して、データ関連の保護作業を実行してもらうことができます。

研究者：130メートル離れたところからでも制御可能

カメラ、マイクなどにアクセスできます。

Southern Metropolis Dailyによると、ハッカーの「ワールドカップ」や「オスカー」として知られるBlack Hat Black Hat ConferenceとDef Conハッカーカンファレンスが、最新の研究とハッカーを共有することを目的として先週末ラスベガスで開催された。セキュリティコミュニティのテクノロジーと知識。研究者らは、掃除ロボット、芝刈りロボット、空気浄化ロボットなど、エコバックスのベストセラー機器10台以上を分析したと述べた。

前述の研究者らは、Ecovacs 製品の主な問題は抜け穴があることだと述べた。携帯電話を使用している人は誰でも、Bluetooth 経由で最大 450 フィート (約 130 メートル) 離れた場所から Ecovacs ロボットに接続して制御できます。「ペイロードを送信すると、それが私たちのマシンに再接続するのに 1 秒しかかかりません。たとえば、インターネット上のサーバーに再接続できます。そこからロボットをリモートで制御できます。」と Denis Gies 氏は言います。「Wi-Fi 認証情報を読み取ることができ、すべての (保存された部屋の) マップを読み取り、カメラやマイクなどにアクセスできます。」

前述の研究者らは、芝刈りロボットは常にBluetoothをオンにする一方、掃除ロボットは電源を入れると20分間Bluetoothが有効になり、1日1回自動的に再起動するため、掃除ロボットの方がハッキングされにくいと述べた。新しい Ecovacs ロボットのほとんどには少なくとも 1 台のカメラとマイクが装備されているため、これらの清掃ロボットは、侵害されたロボットをハッカーが制御すると「監視ツール」になる可能性があります。また、ロボットには、カメラやマイクがオンになっていることを近くの人に知らせるためのハードウェア ライトやその他のライトもありません。

21ファイナンスによると、「Bluetooth セキュリティは常に一般的なセキュリティ問題です。」 Bangbang Security Laboratory の所長である Wu Jianping 氏はインタビューで、Bluetooth ペアリング キーは純粋にデジタルの 4 桁または 6 桁のパスワードであるため、可能性が 10,000 または 100 万しかない場合、現代のコンピュータではペアリングすることができないと指摘しました。数秒で解読に成功します。

この根本的なプロトコルの脆弱性に対応して、Bluetooth 社は 2023 年にバージョン 5.4 アップデートをリリースしました。これにより、短期間のアクセスとキーの比較の数が制限され、Bluetooth 接続が侵害されるリスクがある程度軽減されます。

Bluetooth 関連の脆弱性に加えて、2 人の研究者は Ecovacs 製品に関する他のセキュリティ問題も発見し、次のように述べています。ユーザー アカウントが削除された場合でも、ロボットの関連データは引き続きクラウド サーバーに保存され、ユーザーの ID 認証トークンもクラウドに保存されます。これにより、関連するユーザーがアカウントを削除した後もデバイスにアクセスできてしまう可能性があり、中古マシンを購入するユーザーのプライバシーとセキュリティが危険にさらされることになります。

コボスは「あまり心配しないでください」と答えた。

一般ユーザーには影響しない

8月13日午後、「デイリー・エコノミック・ニュース」の記者がエコボスの「データセキュリティに関する質問への回答」電話会議に参加したエコバックス・グレーター・チャイナの広報ディレクター、馬賢斌氏は、2人の警備員デニス・ギース氏がこう語った。ブライアン氏、研究者は常に中国の掃除ロボット企業の製品の安全性に関心を持っており、他の国内ブランドの製品についても同様の研究を行ってきました。「2人の研究者は無線と組み込みデバイスを専攻していました。」

この事件の背景には、セキュリティ研究者2名が米国のセキュリティ会議「Def Con」で講演し、Ecovacs機器への攻撃方法をデモンストレーションしたと主張しているが、その講演映像はまだ公開されていない。上記 2 人の研究者が作成した攻撃経路と手法については、Cobosは昨年から技術強化を進めており、突破口は閉ざされており、これまでのところ2人のセキュリティ研究者が当初公開予定だった内容は公開されていない。

エコバックスでは、先方から指摘された製品の問題は「抜け穴」ではなく、業界共通の問題、つまり接続確認の過程で不純な動機を持った者が「抜け穴を利用」する可能性があると考えている。しかし、同社の製品に物理的に接触するか、製品の至近距離にいない限り、解読することはできません。さらに、相手方は、開発された攻撃手法は単一のデバイスに対して効果的であり、複製できないと主張しています。

「したがって、製品を購入するユーザーはこの件について心配する必要はないと考えています。少なくとも現在の状況が一般のユーザーに影響を与えることはありません。」馬賢斌氏は語った。

さらに、Cobos は製品の安全保護対策を積極的に最適化していると述べました。馬賢斌氏は、今回の保護対策の強化は単一の事件や単一のハッカー、組織を対象としたものではなく、同社のセキュリティ対策を攻撃者がパターンを発見しにくくし、不必要なリスクを軽減することを目的としていると述べた。

現在のところ、Ecovacs が使用する手法には、さまざまな証明書の検証、セキュリティ ポリシー、ネットワーク ハイジャック対策、リモート コード実行の脆弱性のリアルタイム監視と更新、サードパーティ製デバイス間の接続の健全性などが含まれます。コボスは常に手法や方法を変更してきました。

二人の研究者が公開した「抜け穴」について、馬賢斌氏は次のように考えている。これは技術的な議論です。ある時点で、相手はデバイスに侵入する方法を発見しました。当社は技術的な議論に限定された質問を歓迎します。

Ecovacs が発表した 2023 年の年次報告書によると、2023年の同社の総売上高は155億200万元となり、前年比1.16％増加する見通しだ。上場企業の株主に帰属する純利益は6億1,200万人民元で、前年比63.96％減少した。で、国内営業利益は89億8,000万元で前年同期比11.43％減少、海外営業利益は65億2,200万元で前年同期比25.76％増加した。

デイリー経済ニュース、広州日報、南方都市報、21ファイナンス、Mijing.comからの総合的な自己公開情報（チェン・ヤー記者）